Исследователи безопасности из компании Microsoft выявили две уязвимости (CVE-2022-29799, CVE-2022-29800) в сервисе networkd-dispatcher, получившие кодовое имя Nimbuspwn и позволяющие непривилегированному пользователю выполнить произвольные команды с правами root.
HELPSOC мнение: зачем нужны администратору сети эти утилиты networkd-dispatcher, network-manager, на кой их внедряют?
Зачем, эти якобы упрощения настройки сети в Линукс?
Всё, давно было придумано: ifconfig -a /ifcfg -ххх
/network и продублированно: ip -a,
так бы и оставалось за основу, оно же и понятнее и объяснимо как опытному, так и новичку, в отличае поведения этих утилит, поведение, которых порой умиляет, а иногда бесит.
Знание и значение записей в конфиг файлах сети — похвально ( есть понимание в разных системах) , но и новичок просто копируя конфиги, разберётся, что к чему, в этом была проблема?
Требовались утилиты путающие и себя и людей?Чтобы похоронить знания основ настройки сетей?
Верните людям классику и выбросите эти диспетчеры под ноги мелкомягким, пусть порадуются.
Пользователи жалуются:
на проблемы с диспетчерами сети:
а конкретно:
Вместо того, чтобы найти в поиске и разобраться с настройкой в сетях,мы должны тратить время на поиск устранении проблем в самих диспетчерах или связанных с ними конфигах,
теряя время на бессмыслицу в опыте над утилитой, которая может устареть или будет обновлена с изменением синтаксиса и путей, в любой момент времени:
скажем: «nmtui» на кой нам эти грабли? Если часть настроек он получает из конфига, который мы обычно сами настраиваем ifcfg-xxx0
Зачем мне искать информацию: как отучить его «NETWORK_dispetcher» резолвить в resolv.conf, вместо того , чтобы найти в сети и изменить конфиг сетевого файла?
Вместо этого, мне предлагаться его команды?— Спокойно мастера — это пример, мне советы не нужны ( в частности этой темы ).
В заключении: и после этих мучений, мы узнаём об их networkd-dispatcher/ ненадёжной безопасностью?
Ребята, зачем?
Зачем совать дублирующую гадость в дистрибутивы? Надо кому?
Пусть ставит, если нравиться или потестить.
Общий совет приводите к классики свои конфиги, уберите утопичные утилиты, и лишь познав суть, за бэкапай (backup) и ставь, меняй как угодно по необходимости. Лучше тебя никто не проконтролит и восстановит.
Конкретно читайте далее в статье: Проблема в networkd-dispatcher
Networkd-dispatcher применяется во многих дистрибутивах Linux, включая Ubuntu, использующих для настройки параметров сети фоновый процесс systemd-networkd, и выполняет функции сходные с NetworkManager-dispatcher, т.е. занимается запуском скриптов при изменении состояния сетевого соединения, например, применяется для запуска VPN после установки основного сетевого соединения.
Связанный с networkd-dispatcher фоновый процесс выполняется с правами root и принимает сигналы о событиях через шину D-Bus.
Информация о событиях, связанных с изменением состояния сетевых соединений, отправляется сервисом systemd-networkd.
Проблема в том, что непривилегированные пользователи могут сформировать событие о несуществующем состоянии и инициировать запуск своего скрипта, который будет выполнен с правами root.
Systemd-networkd рассчитан на запуск только системных скриптов-обработчиков, размещённых в каталоге /etc/networkd-dispatcher и не доступных для замены пользователем,
но из-за уязвимости (CVE-2022-29799) в коде обработки файлового пути имелась возможность выхода за пределы базового каталога и запуска произвольных скриптов.
В частности, при формировании файлового пути к скрипту использовались переданные через D-Bus значения OperationalState и AdministrativeState, в которых не производилась чистка спецсимволов.
Атакующий мог с генерировать собственное состояние, в имени которого присутствовали символы «../» и перенаправить обращение networkd-dispatcher в другой каталог.
Вторая уязвимость (CVE-2022-29800) связана с состоянием гонки — между проверкой параметров скрипта (принадлежность root) и его запуском имелся небольшой промежуток времени, достаточный чтобы заменить файл и обойти проверку на принадлежность скрипта пользователю root.
Кроме того, в networkd-dispatcher отсутствовала проверка на символические ссылки, в том числе при запуске скриптов через вызов subprocess.Popen, что существенно упростило организацию атаки.
Проблема устранена в выпуске networkd-dispatcher 2.2. Информации о публикации обновлений дистрибутивами пока нет (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux).
tags: HELPSOC мнение: ink, tech komp, заменить файл, root обойти проверку на принадлежность скрипта пользователю root.
зачем нужны администратору сети эти утилиты, будет выполнен с правами root., «nmtui», nimbuspwn, «/sbin», networkd-dispatcher/, ifcfg-xxx0, резолвить в resolv.conf, на кой нам эти грабли?, Пользователи жалуются на проблемы с диспетчерами сети, Вторая уязвимость, CVE-2022-29800, уязвимости CVE-2022-29799 в коде обработки файлового пути, переданные через D-Bus значения OperationalState и AdministrativeState, Атакующий мог с генерировать собственное состояние, Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux.
